"정보보호"에 대한 통합검색 결과
통합검색(32)
정치(2)
검색결과 총 32건
월급명세서 몰래 본 병원 노조 간부들 2심 '집유' 동료 직원 1천명의 월급 명세서를 몰래 본 가천대 길병원 노조 간부 3명이 항소심에서도 유죄를 선고받았다. 인천지법 형사항소1-1부(이정민 부장판사)는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소된 전국보건의료산업노조 길병원지부 간부 A씨에게 1심과 같은 징역 10개월에 집행유예 2년을 선고했다고 10일 밝혔다. 항소심 재판부는 B씨 등 다른 간부 2명에게도 1심과 같은 징역 6개월에 집행유예 2년과, 벌금 300만원을 각각 선고했다. A씨는 2021년 3월부터 이듬해 7월까지 인천시 남동구 길병원 지하에 있는 지부 사무실에서 병원이 관리하는 급여 데이터베이스에 접속해 다른 직원들의 월급명세서를 1천300차례 몰래 들여다본 혐의를 받았다. B씨 또한 1천 번 넘게 동일한 방법으로 다른 직원들의 월급명세서를 조회했다. 또다른 간부의 범행 횟수는 19차례로 파악됐다. 이 병원 급여 데이터베이스는 직원 각자가 아이디와 비밀번호를 입력해 접속하면 자신의 월급 명세서만 볼 수 있지만, A씨 등은 컴퓨터 오류로 다른 직원의 명세서를 조회할 수 있었다. 피해 직원 수는 1천여명으로 추정된다. 시스템이 분리돼 있어 환자들의 개인정보는 유출되지 않았다. A씨 등 노조 간부 3명은 1심에서 유죄 판결이 나온 데 대해 "부정한 방법으로 월급명세서를 본 게 아니고 양형도 너무 무겁다"며 항소했다. 그러나 항소심 재판부는 "피고인들은 원심에서도 같은 주장을 했지만, 다시 살펴봐도 원심 판단에 사실오인이나 법리 오해의 위법은 없었다"며 "피고인들은 정보통신망에 침입해 다른 이들의 비밀을 봤기 때문에 관련 법 위반"이라고 판단했다. 또 "일부 피고인의 범행 기간과 범행 횟수 등을 보면 죄질이 가볍지 않다"며 "항소심에서도 범행을 부인한 점 등을 고려하면 원심의 양형이 부당한 것으로 보이지 않는다"고 덧붙였다.
2025.04.11
챗GPT 지브리풍 이미지 열풍 뒤의 그림자오픈AI가 챗GPT에 도입한 이미지 생성 기능이 폭발적인 반응을 얻고 있다. 특히 일본 애니메이션 스튜디오 지브리나 인기 만화 작가의 화풍을 모방한 이미지가 SNS를 중심으로 빠르게 확산되고 있으며 그 속에서 저작권과 초상권 침해 논란도 함께 떠오르고 있다. 4일 기준 엑스(X·구 트위터)와 인스타그램 등에서는 사용자가 업로드한 사진이 '지브리풍'으로 변환되어 게시되는 사례가 이어지고 있다. 도널드 트럼프 전 미국 대통령의 피격 장면이나 유명 밈 이미지를 애니메이션 스타일로 바꾼 결과물도 다수 확인됐다. 이들 이미지는 모두 챗GPT의 최신 이미지 생성 모델을 통해 제작된 것이다. 사용자들은 자발적으로 자신이나 가족의 사진을 변환해 공유하고 있으며 오픈AI의 샘 올트먼 CEO 또한 자신의 프로필을 지브리풍 이미지로 바꿨다. 오픈AI는 “지시문에 특정 작풍이 포함될 경우 유사한 스타일을 구현할 수 있다”고 설명하면서도 “현존 아티스트에 대해서는 이미지 생성을 차단하는 시스템을 적용 중”이라고 밝혔다. 지브리풍 이미지 생성에 대해서는 “개인 작가가 아닌 스튜디오 전체의 미학을 참고한 것”이라고 덧붙였다. 스튜디오 지브리 측은 이에 대해 “코멘트할 내용이 없다”며 법적 대응 없이 침묵을 이어가고 있다. 이미지 열풍 속 초상권 침해 가능성도 부각오픈AI의 이미지 기능이 큰 인기를 끌면서 사용자 수 역시 급증하고 있다. 데이터 분석기업 아이지에이웍스에 따르면 지난 3월 27일 기준 국내 챗GPT 일간 활성 이용자 수는 125만2000명으로 약 한 달 전보다 56% 증가했다. 특히 이 증가세는 이미지 생성 기능 ‘챗GPT-4o’의 출시가 주된 원인으로 분석된다. 오픈AI는 무료 및 플러스 사용자 데이터를 AI 학습에 활용할 수 있다고 밝혔으며 기업용·교육용 서비스는 학습에 활용하지 않는다. 이에 따라 일반 사용자가 업로드한 사진이 AI 모델 개선을 위한 학습 자료로 사용될 가능성도 존재한다. 오픈AI는 “데이터 제어 설정을 통해 모델 개선 참여 여부를 쉽게 조정할 수 있다”고 설명했다. 국내 AI 업계 관계자는 “오픈AI가 얼굴 자체를 그대로 활용하지는 않더라도 이미지를 픽셀 단위로 나누어 학습 데이터로 활용할 가능성이 있다”며 “이번 유행을 통해 희소성이 높은 이미지 데이터를 대규모로 확보했을 것”이라고 분석했다. 한편, 개인정보보호위원회는 현재까지 오픈AI의 이미지 기능과 관련된 침해 신고는 접수되지 않았으며 기본적으로 이용자의 동의하에 데이터가 활용되는 구조인 만큼, 방침 위반으로 보기는 어렵다는 입장을 밝혔다.
2025.04.04
대통령실, '국가 AI 안보 협의회' 출범…7개 기관 합동회의대통령실 국가안보실은 28일 인공지능(AI) 관련 안보 위협에 대한 국가 차원의 대응 방안을 마련하기 위해 '국가 AI 안보 협의회'를 출범하고 관련 기관 합동 회의를 개최했다고 밝혔다. 이날 회의에는 국가정보원, 과학기술정보통신부, 외교부, 국방부, 행정안전부, 개인정보보호위원회, 디지털플랫폼정부위원회의 국장급 관계자가 참석했다. 참석자들은 AI 안보 협의회를 통해 대통령실과 관련 기관이 AI 안보 관련 정책과 현안을 신속하게 공유하고, AI 안보 위협에 통합적이고 체계적으로 대응하기로 의견을 모았다.왕윤종 국가안보실 3차장은 "AI 기술 오용과 통제력 상실 등으로 인한 중대한 사이버 안보 위협이 발생할 수 있는 만큼 국가안보 차원에서 선제 대응이 필요하다"고 전했다.
2025.03.28
개인정보 유출 신고 2배 증가… 절반 이상 차지한 항목?개인정보 유출 사고가 여전히 심각한 사회적 문제로 떠오르는 가운데, 지난해 공공기관의 개인정보 유출 신고 건수가 전년 대비 2배 이상 증가한 것으로 나타났다. 특히 해킹으로 인한 유출 비중이 절반 이상을 차지하며 사이버 보안의 취약점이 다시 한번 드러났다. 21일 업계에 따르면, 개인정보보호위원회와 한국인터넷진흥원(KISA)은 ‘2024년 개인정보 유출 신고 동향 및 예방 방법’ 보고서를 발표했다. 이 보고서는 지난 1년간 접수된 개인정보 유출 사고를 분석해 원인별 예방 대책을 제시했다. 보고서에 따르면, 2023년 개인정보 유출 신고 건수는 총 307건으로 전년(318건)과 유사한 수준을 유지했다. 유출 원인으로는 해킹이 56%(171건)로 가장 높은 비중을 차지했고, 업무 과실(30%·91건)과 시스템 오류(7%·23건)가 뒤를 이었다. 특히 해킹 사고는 전년(151건) 대비 13.2% 증가해 개인정보 보호의 필요성이 더욱 강조됐다. 해킹 유형별로 살펴보면, 관리자 페이지의 비정상적인 접속(23건)이 가장 많이 발생했다. 이어 ▲SQL 인젝션(17건) ▲악성 코드 삽입(13건) ▲크리덴셜스터핑(9건) 순으로 나타났다. SQL 인젝션은 악의적인 명령어를 삽입해 데이터베이스를 조작하는 방식이며, 크리덴셜스터핑은 탈취한 계정 정보를 이용해 다른 웹사이트에 무단 로그인하는 기법이다. 이밖에도 원인이 명확하지 않은 해킹 사고(87건)도 전체 해킹 건수의 절반 이상을 차지했다. 업무 과실로 인한 개인정보 유출 사례는 ▲게시판이나 단체 채팅방에 개인정보 파일을 게시한 경우(27건) ▲이메일 동보 발송 시 개인정보가 포함된 경우(10건) ▲이메일·공문에 개인정보 파일을 잘못 첨부한 사례(7건) 등이 주를 이뤘다. 시스템 오류로 인한 유출 사고 중에서는 ▲소스코드 적용 오류(14건) ▲API 연동 오류(8건) 등이 많았다. 기관 유형별로는 공공기관이 전체 유출 신고의 34%(104건)를 차지하며, 2023년(41건) 대비 2배 이상 증가했다. 개인정보위는 이러한 증가 원인으로 2023년 9월 개정된 개인정보보호법을 꼽았다. 개정된 법안에 따르면 기존에는 1000명 이상의 개인정보가 유출된 경우에만 신고 의무가 있었으나, 이제는 민감 정보나 고유식별정보가 1건 이상 유출되더라도 반드시 신고해야 한다. 실제로 공공기관의 유출 신고 104건 중 68%(71건)는 1000건 미만의 개인정보 유출 사례였다. 공공기관 유형별로는 ▲중앙행정기관 및 지방자치단체(42%) ▲대학교 및 교육청(41%) ▲공공기관 및 특수법인(17%) 순으로 집계됐다. 반면, 민간기업의 유출 신고 건수는 전체의 66%(203건)로, 2023년(277건) 대비 감소했다. 민간기업 중에서는 중소기업(60%)의 비율이 가장 높았으며, 이어 ▲해외 사업자(12%) ▲협·단체(12%) ▲중견기업(11%) ▲대기업(5%) 순이었다. 한편, 개인정보위 관계자는 “개인정보 입력 페이지에서 비정상적인 아이디·비밀번호 대입 행위를 탐지·차단하는 조치를 마련하고, 웹 방화벽(WAF) 등의 보안 솔루션을 적극 도입해야 한다”고 강조했다. 또한, 보안 취약점을 사전에 점검하고 정기적인 보안 업데이트를 수행하는 것이 중요하다고 덧붙였다.
2025.03.21
삼성전자, 제56기 정기 주주총회 사업전략 각 부문별 발표삼성전자는 19일 경기도 수원시 수원컨벤션센터에서 열린 제56기 정기 주주총회에서 DX부문장 한종희 부회장과 DS부문장 전영현 부회장이 각 사업부문별 경영전략에 대해서 주주들에게 설명했다. 먼저 삼성전자 DX부문은 AI 등 차세대 기술 역량과 고객 중심의 혁신을 결합해 새로운 제품과 서비스 경험을 창출해 나갈 예정이다. 또 미래형 사업구조 전환과 과감한 성장을 추진한다. DX부문은 지난해부터 스마트폰, TV, 가전 등 전 제품에 AI를 적용해 시장을 선도하고 있으며 올해도 이러한 노력을 강화한다. 스마트폰, 태블릿, 워치, 버즈 등 모바일 제품 전체에 갤럭시 AI를 확대 적용해 모바일 AI 시대를 이끌 갈 계획이다. TV도 고객의 취향과 맥락에 기반한 개인화된 경험을 제공하는 차세대 AI 스크린을 구현한다. 냉장고, 세탁기, 에어컨 등 일상에서 사용하는 가전제품은 AI 기반의 지능적인 개인 맞춤형 사용자 경험을 확대한다. 삼성전자의 AI 제품은 디바이스는 스마트싱스(SmartThings)를 기반으로 더 많이 연결되며, 사용자가 자주 사용할수록 고객을 보다 잘 이해하게 돼 더 큰 고객 가치를 제공하게 된다. 삼성전자는 AI 시대가 본격화 되고 제품간 연결이 많아지는 환경에서, 고객이 개인정보보호와 보안에 대한 염려없이 제품과 서비스를 사용할 수 있도록 첨단 보안기술 삼성 녹스(Knox)를 적용해 프라이버시에 만전을 기하고 있다. 삼성전자는 고객 경험을 지속 혁신해 고객의 일상 생활에서 보다 큰 편리함과 행복을 제공한다. 'AI Home'은 제품이 연결될수록 더 똑똑하게 사용자와 집을 이해하고, 더 안전하면서도 쾌적한 환경을 제공하게 된다. 삼성전자는 고객 경험을 더욱 향상시키기 위해 서비스 사업 강화 등 사업 모델의 혁신도 지속 추진한다. 게임, 스토어, 미디어, 헬스 등 다양한 서비스를 통해 사용자 경험을 고도화하고 충성 고객을 확대해 새로운 성장 동력으로 육성할 계획이다. 또한, 사이니지 플랫폼 서비스, AI Home 컴패니언 '볼리' 등 다양한 신규 사업 모델도 지속 발굴하고 있다. 삼성전자는 미래 격전지인 로봇 사업 분야에서는 사업장 내 제조봇, 키친봇 추진으로 확보한 핵심기술과 데이터를 첨단 휴머노이드 개발에 활용하는 '개발 선순환 체계'를 구축할 계획이다. 또, 로봇 AI와 휴머노이드 분야의 국내외 우수 업체, 학계와 협력하고 유망 기술에 대한 투자와 인수도 지속 추진한다. 메드텍 분야는 의료·건강관리와 IT기술을 접목한 토탈 헬스케어 사업으로 확장으로 추진중이며, 초음파 진단 기기 외 사업 영역 확대를 검토하고 AI 혁신을 기반으로 경쟁사와 차별화된 역량을 확보할 계획이다. 기후 온난화로 수요가 증가하고 에너지 효율성이 더욱 강조되는 냉난방공조(HVAC) 사업 강화를 위해서도 노력하고 있다. AI 기술을 활용한 무풍 솔루션과 히트펌프 등으로 차별화된 공조 경험을 제공하고, 제품 포트폴리오 확대와 글로벌 유통채널 강화를 위한 파트너십도 추진한다. 전장 분야에서는 단순 이동 수단을 넘어 새로운 생활공간으로 변화하는 차량의 탑승자 경험을 제고하기 위해 차량용 디지털 콕핏과 카오디오 분야를 지속 선도하고, 차량내 디스플레이도 한층 강화하는 등 차세대 전장 사업의 성장 기회를 적극 발굴할 예정이다. DS 부문은 각 사업 부문별 특성에 맞게 전략을 수립해 반도체 시장을 주도할 계획이다. 메모리는 선단 공정 기반 HBM(High Bandwidth Memory) 적기 개발로 차세대 AI 제품 경쟁력을 확보하고 고성능·고용량 SSD(Solid State Drive) 라인업 확대를 통해 시장 요구 사항에 적극 대응한다. 또 선단 공정 전환 가속화와 서버 중심 제품 판매 확대로 상반기 시장 약세에 대응하고 매출과 수익성을 극대화한다. 특히 고객 중심의 디자인 인프라 구축을 위해 응용별 IP(Intellectual Property, 설계자산)를 선제적 준비하고 설계 역량도 개선할 방침이다. 수율 개선, 비용 절감 등으로 수익 구조도 개선해 나갈 예정이다. 시스템 LSI사업부는 제품 경쟁력을 강화해 안정적 성장을 위한 사업 내실화를 추진한다. SoC(System on Chip)는 차세대 플래그십 스마트폰 탑재를 위해 성능 극대화에 주력한다. 이미지 센서는 고화소 경쟁력을 바탕으로 신규 고객 확보와 신시장 진입으로 점유율을 확대한다. 또한, 솔루션 경쟁력 강화를 위해 디스플레이 IC 기술 차별화, 전력관리 IC 사업 확대 등도 추진한다. 주주 가치 제고를 위해 성장성과 수익성 두 가지 축을 바탕으로 하는 중장기 전략도 수립했다. 먼저 성장을 위해 차세대 기술과 제품 역량을 강화해 반도체 사업 본연의 경쟁력을 제고한다. 수익성 측면에서는 고성장 제품 포트폴리오를 강화하고, 공정 수익성 제고를 통해 고수익 사업구조를 확보할 방침이다. 제품별 목표 달성의 경우, 메모리는 특성과 품질에 대해 타협 없는 연구개발을 통해 신공정과 차세대 기술 경쟁력을 확보한다. 특히 VCT(Vertical Channel Transistor, 수직 채널 트랜지스터)와 본딩(Bonding) 기술과 같은 차세대 기술의 경쟁력 확보에 집중하는 등 미래 반도체 개발을 선제적으로 준비해 사업을 성장시킬 계획이다. 수익성 관점에서는 HBM Bit 공급량을 전년비 2배 수준으로 확대하고 커스텀(Custom) HBM 준비를 통해 고수익 반도체 시장에 적극 대응한다. 또 낸드의 경우 고성능 고용량 SSD 등 고부가 차별화 제품 강화를 통해 사업의 질을 제고할 방침이다. 시스템 LSI는 고수익 AI 제품 경쟁력을 확보하고 사업구조 개선으로 지속성장 가능한 기반을 구축한다. 온디바이스(On-device) 생성형(Generative) AI용 SoC 솔루션을 선제적으로 대응하고 극저조 둥 차별화된 이미지센서 기술을 개발해 플래그십 제품의 경쟁력을 강화한다. 파운드리는 누설전류를 줄이는 GAA(Gate All Around), 차세대 D램, 첨단 패키징 기술을 연계해 제품 경쟁력을 제고한다. 파운드리는 강점 분야인 모바일 외에도, HPC(High Performance Computing)용 최고 수준의 고성능·저전력 반도체를 공급한다. 차량용(Auto)의 경우 고객 맞춤형 공정 솔루션을 제공해 고성장 분야에 대응할 계획이다. 아울러 선단 공정 PPA를 개선해 고객을 확대함과 동시에 초도·성숙 수율을 개선해 수익성을 확보한다. 레거시 공정은 고객 맞춤 대응을 통해 사업을 확장하고 가동률 개선 등을 통해 비용을 절감하는 등 고정 수익성 제고로 사업의 기초 체력을 확보할 예정이다. DS부문은 미래 성장 강화를 위한 시설투자와 R&D 투자를 꾸준히 이어가고, 특히 연구개발에 과감한 투자를 아끼지 않을 방침이다. 2025년 DS부문은 성장성과 수익성 강화에 집중해 어떤 환경에서도 지속 성장하는 기반을 구축하고 차별화된 제품과 기술 리더십을 기반으로 사업을 지속 성장시켜 나갈 계획이다.
2025.03.19
[알고리즘 시대의 법생활] 로펌의 보안 정책, 운용의 문제와 대책 최근 국내 로펌에서 미공개 기업 정보가 유출되어 증권 범죄에 악용된 사실이 금융당국 조사로 드러났다. 이는 단순한 직원의 일탈이 아니라, 로펌의 보안 정책과 내부 통제 시스템을 전반적으로 점검하고 정비해야 할 의무가 얼마나 막중한가를 보여주는 사례다. 법무법인은 고객의 기밀 정보를 다루는 기관이다. 따라서 정보 보호의 신뢰성이 무너지면 법조계 전체의 신뢰도 하락할 뿐만 아니라 금융시장과 기업의 공정성도 위협받을 수 있다.특히 기업법무 분야에서 로펌 변호사들은 고객사의 핵심적인 사업 기밀과 미공개 정보를 다룬다. 기업 인수·합병(M&A), 기업공개(IPO), 대형 계약 협상, 금융거래, 국제 중재 등과 같은 업무에서는 기업 내부의 전략적 의사결정과 재무정보, 기술자료, 법적 분쟁 전략 등이 포함되며, 이는 유출될 경우 기업의 경쟁력에 심대한 영향을 미칠 수 있다. 이러한 업무를 취급하는 변호사들은 다량의 기밀 문서를 취급하며, 이는 계약서, 법률 의견서, 증빙 자료 등 디지털 및 물리적 형태로 존재한다. 하지만 이러한 정보들이 암호화되지 않은 채 저장되거나 보안 수준이 낮은 장치에서 관리될 경우, 외부 해킹이나 내부 유출의 위험이 높아진다.또한 변호사들은 업무 수행 과정에서 고객사, 외부 전문가, 규제기관, 해외 로펌 등 다양한 이해관계자들과 협업해야 한다. 이 과정에서 정보가 여러 기관과 공유되며, 관리되지 않은 정보 흐름이 보안의 사각지대를 만들 수 있다. 특히 IT 인프라가 각 기관마다 다를 경우 보안 표준을 통일하기 어려워 데이터 보호가 더욱 취약해진다. 이동이 많은 업무 특성상 변호사들은 노트북, 태블릿, 스마트폰 등을 활용하여 외부에서 업무를 처리하게 되는데, 공공 와이파이를 사용하거나 개인 장치에서 기밀 문서를 열람하는 등의 행위가 보안 리스크를 높이는 요인으로 작용할 수 있다.이러한 보안 문제를 극복하기 위해 로펌은 보다 체계적이고 강력한 보안 전략을 도입해야 한다. 전통적인 내부자 신뢰 기반의 보안 정책에서 벗어나, 모든 접속과 데이터 접근을 지속적으로 검증하는 Zero Trust 모델을 구축해야 한다. 변호사, 직원, 외부 협력업체 등 모든 사용자의 접근을 최소 권한 원칙(Principle of Least Privilege)에 따라 제한하고, 다단계 인증(MFA)을 필수화하는 것이 중요하다.또한 AI 기반의 보안 모니터링 시스템을 도입해 내부자의 비정상적인 문서 접근이나 외부 해킹 시도를 실시간으로 감지하고 대응할 수 있어야 한다. 이를 보완하기 위해 데이터 유출 방지(DLP, Data Loss Prevention) 시스템을 활용하여 로펌 내에서 다뤄지는 문서의 이동 경로를 추적하고, 기밀 정보가 무단 복사되거나 전송되지 않도록 해야 한다.기술적 보안 조치와 함께 내부 보안 교육 및 윤리의식 강화도 필수적이다. 변호사와 직원들이 보안 위험에 대한 경각심을 가지도록 정기적인 교육을 실시하고, 정보 보호 및 기밀 유지에 대한 명확한 가이드라인을 제시해야 한다. 이제 변호사의 업무 방식을 더욱 보안 중심으로 전환할 필요가 있다.외부에서 업무를 수행할 경우 VPN을 필수적으로 사용하고, 개인 기기에서 기밀 문서를 열람하는 것을 관리할 수 있는 수단과 규정을 강화해야 한다.종이 문서를 최소화하고, 전자문서 관리 시스템(EDMS, Electronic Document Management System)을 통해 보안이 강화된 디지털 문서 관리 환경을 구축해야 한다.이를 위하여 로펌 내부 신고 시스템과 보안 사고 대응 프로토콜이 정립되어야 할 것이다.내부 직원이 보안 취약점이나 비윤리적인 행위를 신고할 수 있는 안전한 채널을 구축한다든지, 보안 사고 발생 시 신속한 대응이 가능하도록 위기 대응 매뉴얼을 정립하고, 실질적인 테스트를 실시해야 한다. 법무법인은 고객의 신뢰를 기반으로 운영된다. 특히 기업법무 분야에서는 기업의 생존과 직결될 수 있는 중요한 기밀이 다뤄지는 만큼, 보안은 단순한 선택이 아니라 필수적인 책무다. 이번 사건을 계기로 로펌들이 보안 정책을 전면 재검토하고, 보다 강력한 보안 시스템을 도입할 필요가 있다.기업법무의 특수성에서 기인하는 보안 관리의 어려움을 극복하기 위해, 로펌은 기술적·제도적 대응뿐만 아니라, 보안에 대한 조직 전체의 인식을 강화해야 한다. 변호사 개개인이 ‘보안이 곧 고객의 신뢰이며, 나아가 로펌의 경쟁력’이라는 마인드를 가지고 업무에 임할 때, 로펌은 보다 안전하고 신뢰받는 법률 서비스를 제공할 수 있을 것이다.
2025.03.17
KGC인삼공사, 정보보호 국제표준인증 갱신…글로벌보안 경쟁력 입증 KGC인삼공사가 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 공동으로 제정한 정보보호 및 개인정보보호 분야의 가장 권위있는 국제 표준 인증인 ISO/IEC 27001을 갱신했다. ISO/IEC 27001 인증은 정보자산의 리스크를 체계적으로 관리하고 정보보호 목표를 달성하기 위한 심사기준을 모두 충족하는 경우에만 부여된다. △정보보호정책 △인적 보안 △물리적 보안 △기술적 보안 등 4개 주요 보안 제어 조항과 93개 세부 항목에 대한 철저한 심사와 검증을 통과해야 ISO/IEC 27001 인증 획득이 가능하다. ISO/IEC 27701 인증은 개인정보 수집 및 처리, 정보주체 권리보장 등 개인정보 생명주기(Life-Cycle)에 따라 조직의 개인정보 관리절차, 암호화, 비식별화, 서비스 안전성 등 8개 분야 49개 인증기준에 적합한 경우에만 발급된다. KGC인삼공사는 세계적인 공신력을 지닌 인증기관인 영국왕립표준협회(BSI: British Standards Institution)로부터 2022년 ISO/IEC 27001·27701 인증을 처음 획득한 후 2024년 갱신심사를 통과하며 재인증을 완료했다. KGC인삼공사 관계자는 “최상의 데이터 보호환경과 보안관리체계를 향상을 위한 노력을 인정받았다”며, “앞으로도 철저한 개인정보보호 관리를 통해 소비자 신뢰를 높여 글로벌 경쟁력을 강화하겠다”고 말했다.
2025.03.13
[AI 동향과 법] 한국의 개인정보 해법은? EU GDPR VS 美 미국의 대표적인 신용정보회사인 Equifax는 해킹 공격을 당해 1억4700만 명의 개인정보가 유출되는 대규모 사고를 겪었다. 이 사건으로 인해 Equifax는 연방거래위원회(FTC)로부터 7억 달러(약 9조 원)에 달하는 배상 판결을 받았다. 또한, 페이스북(Facebook)도 생체정보 보호법(BIPA) 위반으로 6억5천만 달러(약 8400억 원)의 배상 판결을 받았다. 이러한 사례들은 미국의 개인정보 보호법이 사전 규제를 최소화하는 대신, 사고 발생 시 강력한 징벌적 손해배상을 부과하는 구조를 띠고 있음을 보여준다. 그러나 이와 같은 강력한 처벌은 예상치 못한 개인정보 유출로 인해 기업의 도산할 위험을 높이기도 한다. 반면, 유럽연합(EU)의 GDPR(General Data Protection Regulation)은 사전 규제를 적용하여, 기업이 일정한 보안 조치를 준수할 경우 책임을 경감하는 방식을 취하고 있다. 그렇다면 대한민국의 개인정보보호법은 어느 방향으로 나아가야 할까? 개인정보 보호와 기업 성장, 그리고 AI 등 신산업 활성화를 고려할 때, 한국은 GDPR을 기반으로 한 사전 규제 모델을 도입하되, 신산업 테스트베드를 마련할 필요가 있다. GDPR 역시 기업에 전 세계 연간 매출의 최대 4%에 달하는 과징금을 부과할 수 있지만, 그 핵심은 개인정보 보호를 위한 사전 조치와 기업의 준수 의무 강화에 있다. 개인정보를 수집·활용하기 전에 반드시 명확한 동의를 받아야 하며, 기업이 적절한 보안 조치를 이행했다면 유출 사고 발생 시 일부 책임이 면제될 수 있다. 반면, 미국은 연방 차원의 GDPR과 같은 포괄적인 개인정보 보호법이 없으며, 주(州)별·산업별로 개별적인 법률을 운영한다. 이에 따라 데이터 활용이 비교적 자유로운 반면, 사고 발생 시 강력한 처벌이 부과된다. 예를 들어, 기업이 개인정보 유출을 방지하지 못할 경우, 캘리포니아 개인정보권리법(CPRA)은 집단소송을 허용하며, 일리노이 생체정보 보호법(BIPA)은 징벌적 손해배상 및 집단소송이 가능하도록 규정하고 있다. 대한민국의 개인정보보호법은 GDPR을 기반으로 하면서도 미국식 모델의 요소를 가미하는 방식으로 발전해 왔다. 그러나 최근 AI, 빅데이터, 헬스케어 등 신산업이 활성화되면서 보다 명확한 정책 방향이 필요한 시점이다. 기업이 일정 수준의 개인정보 보호 조치를 준수한 경우, 사고 발생 시 법적 책임을 일부 완화하는 방안이 바람직하다. 개인정보 보호를 지나치게 강조하면 대기업만이 보호 시스템을 구축할 수 있어 혁신성이 저하될 우려가 있으며, 기존과는 다른 방식의 해킹 등 불가항력적인 사고가 발생할 가능성도 고려해야 한다. 신산업 발전을 위해서는 정부가 전문 테스트베드를 운영하여 데이터 활용 환경을 제공해야 한다. 특히 스타트업들은 양질의 데이터에 접근하기 어려운 경우가 많아, AI 모델 학습과 데이터 기반 서비스 개발이 제한된다. 따라서 전문기관을 설립하여 개인정보 활용을 위한 사전 검증 및 보안 조치 지원을 수행하고, 신산업 기업들이 안전한 환경에서 혁신을 추진할 수 있도록 해야 한다. 마이데이터, 공공데이터 개방 등과 연계하여 개인정보 보호를 유지하면서도 데이터 산업이 활성화될 수 있는 환경을 조성해야 한다. 유럽의 GDPR의 사전 규제를 산업별/기업별로 유연하게 적용하고, AI 및 데이터 신산업 발전을 위해 테스트베드 전문기관을 운영하는 방향으로 나아가야 한다. 이를 통해 기업들이 과도한 법적 리스크 없이 개인정보를 활용할 수 있도록 하고, 동시에 국민의 개인정보 보호를 강화할 수 있을 것이다.
2025.03.06
토스, 개인정보 무단 활용에도 징계 두 단계 감경… 특혜 논란핀테크 기업 비바리퍼블리카(토스)가 개인정보를 고객 동의 없이 활용한 혐의로 금융감독원의 중징계를 받을 위기에 놓였다가, 이례적으로 두 단계 감경된 사실이 뒤늦게 밝혀졌다. 이복현 금융감독원장 취임 이후 제재 수위가 두 단계 이상 낮아진 사례는 토스가 유일해 특혜 논란이 불거지고 있다. 18일 강준현 더불어민주당 의원실이 금융감독원에서 제출받은 자료에 따르면, 금감원 제재심의위원회는 지난해 11월 이승건 토스 대표에 대한 징계를 직무정지에서 주의적 경고로 낮췄다. 이 대표와 함께 징계가 감경된 인물 중에는 대통령실 사이버안보비서관으로 자리를 옮긴 신용석 전 토스 개인정보보호책임자도 포함됐다. 개인정보 2900만 건 무단 활용… 징계 두 단계 감경 토스는 2021년 11월부터 2022년 4월까지 한 업체로부터 2900만 건 이상의 전자영수증 거래 정보를 넘겨받아, 고객 동의 없이 카드 결제 내역과 결합해 활용한 혐의(신용정보법 위반)로 조사를 받았다. 이에 금감원 검사국은 비바리퍼블리카에 기관주의 처분과 함께 과징금 53억 7400만 원, 과태료 6억 2800만 원을 부과하고, 이승건 대표에게는 직무정지를 요구했다. 하지만 제재심의위원회 심의를 거치면서 이 대표의 징계는 두 단계 감경됐다. 감경의 핵심 이유는 이 대표의 업무 부담이 과중했다는 점과 규정 위반 건수를 2900만 건이 아니라 64회(정보 결합 횟수)로 봐야 한다는 논리였다. 징계 감경으로 연임 가능해진 이승건 대표금감원의 중징계를 받으면 금융사 대표 연임이 제한되지만, 이번 감경 결정으로 이 대표는 연임 가능성을 확보하게 됐다. 비바리퍼블리카는 2022년부터 기업공개(IPO)를 추진 중이었는데, 이 대표의 부재가 상장 과정에 차질을 빚을 것을 우려한 게 아니냐는 해석이 나온다. 토스 측 역시 이 대표가 문책경고 이상의 징계를 받을 경우, 현행 금융회사 지배구조법상 3년간 연임이 불가능해 회사에 큰 불이익이 있을 것이라는 점을 강조하며 징계 감경을 요청한 것으로 알려졌다. 이복현 원장 취임 이후 금융감독원이 감독자 징계를 두 단계 낮춘 사례는 토스가 유일하다. 최근 5년간 유사한 사례는 2020년 라임 사태 당시 신한금융투자가 유일했던 점을 고려하면 매우 이례적인 결정이라는 지적이 나온다. 금감원 관계자는 이에 대해 "제재심의위가 원칙적으로 판단했다"고 해명했으며, 토스 측은 "확인해드리기 어렵다"며 말을 아꼈다. 그러나 금융권에서는 "금융소비자 보호보다 대기업 핀테크 업체를 배려한 결정"이라는 비판이 제기되고 있다. 금융당국이 기업의 경영 상황을 감안해 징계를 감경하는 관행이 계속될 경우, 향후 금융권 제재의 공정성에도 의문이 제기될 수 있다는 우려가 나온다.
2025.02.18
딥시크, '틱톡' 모회사에 이용자 데이터 유출 정황…내 정보도? 국내 서비스가 잠정 중단된 중국의 생성형 인공지능(AI) 딥시크가 중국 소셜미디어 '틱톡'의 모회사인 '바이트댄스'에 이용자 관련 데이터를 넘긴 정황이 파악됐다. 구체적으로 딥시크가 바이트댄스에 전송한 데이터의 내용이나 양, 목적 등이 밝혀지지는 않았다. 18일 개인정보보호위원회에 따르면 개인정보위는 딥시크 서비스가 출시된 이후로 딥시크 본사에 개인정보 수집·처리 방식에 관한 공식 질의를 보냈고, 딥시크 서비스에 대한 자체 분석에도 착수했다. 이 과정에서 딥시크가 제3자인 바이트댄스에 이용자 입력 정보를 전송했다는 사실을 확인했다. 개인정보위 관계자는 "딥시크가 (바이트댄스와) 통신하는 사실을 확인했다"며 "다만 어떤 정보가 얼마나 넘어갔는지는 아직 확인하지는 못했다"고 덧붙였다. 국내 개인정보보호법상 사업자가 제3자에게 이용자 관련 정보를 제공할 경우 정보 제공자인 이용자에게 이런 사실을 구체적으로 알리고 동의를 받아야 한다. 개인정보위는 딥시크의 개인정보 처리방침이 이러한 내용을 준수하지 않는 등 여러 가지 미흡한 점을 확인했다. 딥시크는 10일 국내 대리인을 지정한 데 이어 글로벌 서비스 출시 과정에서 국내 개인정보보호법에 대해 일부 소홀했음을 인정했다. 또 향후 개인정보위에 적극 협력하겠다는 의사도 전해왔다. 개인정보위는 딥시크가 관련 서비스를 시정하기까지 상당한 시일이 걸릴 것으로 파악, 추가적인 우려가 확산하지 않게 하기 위해 딥시크 국내 서비스를 잠정 중단할 것을 권고해 딥시크는 이를 수용했다. 이에 대해 일각에서는 바이트댄스에 전송한 데이터가 개인정보보호법상 민감한 개인정보에 해당하는 게 아닌지 의문을 갖는 목소리가 나온다. 한편 딥시크의 잠정 서비스 중단에 따라 딥시크 앱의 신규 다운로드는 15일부터 제한됐다. 개인정보위는 딥시크 서비스 중단 기간 동안 딥시크의 개인정보 처리 실태를 면밀하게 점검할 계획이다. 또 이같은 점검 과정에서 딥시크 서비스가 국내 개인정보보호법에서 요구하는 요건을 갖추도록 개선을 적극 유도할 방침이다. 점검 최종 결과 발표 때는 해외 AI 개발사가 국내 서비스 출시 전 점검해야 할 사항을 가이드 형태로 제시할 계획이다. 생성형 AI 등 AI 서비스가 대중화된 만큼 AI 활용과 개인정보 보호가 균형을 이룰 수 있도록 개인정보보호법상 AI 특례 신설, 해외 사업자 대상 집행력 강화 등을 담아 법 개정에도 나설 것으로 보인다. 개인정보위는 딥시크 앱을 기존에 앱을 내려받았거나 웹을 통한 딥시크 활용에는 제한이 없는 만큼 서비스를 이용할 때 유의를 당부했다. 남 국장은 "이미 다운로드받아서 사용하시는 분이나 인터넷을 통해 이용하시는 분은 (개인정보 유출) 위험성이 있으니 신중한 이용을 당부드린다"며 "자체적으로 삭제하고 이용하지 않는 방법도 있다"고 당부했다.
2025.02.18
